针对公安视频专网安全的研究分析
2021-10-19
来源: 信息安全与通信保密杂志社
摘 要
对公安机关来讲,海量的视频图像信息已经成为打击犯罪、治安防控、维稳处突、社会管理的重要资源,承载着视频资源的“视频专网”更是重中之重。综上所述,视频专网的安全问题更显得尤为重要。未来公安视频专网架构拓扑中,对专网中视频的整合应用方式、资产管理、前端安全准入、基础安全防护系统、安全监管平台等多方面专网安全节点进行研究分析,是公安警务网络架构搭建的重要工作。
0
引 言
随着我国城市化进程的发展,视频监控系统作为维护社会公共安全的重要载体和工具,遍布城市各个角落和人民日常生活的各个领域,其功能和作用愈发显著。鹤岗市公安局以“雪亮工程”建设项目为契机,根据市局党委2020年度全局“七个一”工作清单战略部署,利用“视频专网”将新建视频资源整合,全力打造全局前端设备“一张网”的概念,即将“视频专网”作为全市视频资源的载体,将重点区域、重点场所、公交车、出租车、执法执勤车辆、执法记录仪(无线物联网卡视频回传)等符合要求的视频资源全部整合到“一张网”中,实现全局“一张网”掌控全市动态。
鹤岗市副市长、公安局党委书记、局长徐连斌提出的“三警战略”中“科技强警”以及“大数据赋能、信息化增效、科技化强警”的主导思想,奠定了2020年鹤岗市公安局信息化工作的主基调。将智能化、大数据思维,融入到鹤岗市公安局科技信息化建设当中来,开拓民警创新性思维模式,大力支持“发明创造”,开启“数字鹤岗”新时代。
鹤岗市公安局立足于“视频专网”的研发创新,于2020年5月13日成功申请由中华人民共和国国家版权局颁发的计算机软件著作权登记证书(3项)。计算机软件著作权登记证书的颁发,开创了鹤岗市公安局“国家著作权”的先河。同时凭借对视频专网应用的积累,将会有越来越多的想法和创新得到实践,越来越多的成果得以应用。对公安机关来讲,海量的视频图像信息已经成为打击犯罪、治安防控、维稳处突、社会管理的重要资源,承载着视频资源的“视频专网”更是重中之重。综上所述,视频专网的安全问题更显得尤为重要。
1
现状和需求
近年来,公安视频专网的建设规模正在不断扩大,专网前端的IP接入设备(如IPC、RFID等)的种类与数量正在不断上升,这些前端设备被广泛应用于治安管理、交通疏导等领域,与国计民生息息相关;同时,如人脸对比、车辆识别、大数据分析等核心业务,也正向公安视频专网迁移,目前的公安视频专网事实上已经成为一张承载海量终端与海量数据的物联网。
公安视频专网的重要性正在不断提升,随之而来的安全问题也日益凸显,一旦出现黑客攻击、数据窃取等事件,将有可能造成治安管理失控、交通管制失效、敏感信息泄漏、LED屏幕倒流信息篡改等后果,严重危害社会稳定。
与此相对的是,由于点多面广,大部分公安视频专网无法部署有效的安全策略,前端设备与后端业务基本处于直连状态,大量无人值守的接入终端被黑客利用成为攻击源。攻击者可利用分散在社会各处的前端设备接入整个网络中,对核心业务系统展开攻击,甚至窃取保密信息。因此,如何解决来自于前端设备的安全风险、如何防护视频专网后台的安全、如何监测视频专网中的异常情况成为公安视频专网安全体系建设的突出问题。
本文就视频专网的安全问题进行研究分析,未来如何将前端视频资源整合到视频专网当中,后端平台应当如何建设才能避免非法数据危及整个视频专网,一旦发生非法入侵,如何才能保证视频专网的安全。在整合视频资源的同时,如何保证视频专网的安全性,是摆在广大公安民警面前的一项重要课题。
2
关于视频专网安全建设
2.1 视频专网安全准入系统建设意义
按照“严控边界、纵深防御、主动监测、全面审计”的思路,以前端准入控制系统、数据中心基础安全防护系统和公安视频监控安全监管平台建设为重点,构建视频传输专网安全防护技术体系,实现对视频传输专网的实时监测、网络异常情况的及时预警、违规入侵的及时处置、安全事件的及时溯源取证,全面提升视频监控系统安全防护能力,确保重要视频图像信息不失控、敏感视频图像信息不泄露。
2.2 视频专网安全准入系统应用价值
(1)对前端非法私接和仿冒进行防范,实现接入前端视频专网设备后,阻断网络入侵和非法数据的访问。
(2)通过视频专网安全准入系统,解决因视频专网特性导致前端设备部署规模庞大、网络分支较多、网络摄像头接入地理位置分散、人为监管困难的问题。
(3)解决目前视频资源访问无法追踪,造成信息安全管理失控问题。
(4)通过部署视频专网安全准入系统,解决因视频专网实时视频流的高吞吐、高转发性,导致传统安全设备部署困难的问题。
2.3 视频专网安全准入系统建设方式
2.3.1 准入终端特征识别,禁止非法终端入网
通过建立合法资产库,对合法终端进行特征识别,禁止非资产库终端接入网络,确保接入终端合法。
2.3.2 业务特征深度识别,实时处置非法业务
通过建立视频专网安全准入系统内置视频协议白名单,深度识别符合GB28181、Onvif、GB35114-2017以及GA/T1400等标准的视频业务,只允许视频业务通过设备,实时阻断非法业务流量并告警,在终端合法准入的基础上,进一步实现对视频专网的深层次防护。
2.3.3 业务流量全面审计,不法行为无处遁形
通过安全监管平台实时展示和记录非法访问行为和正常业务,通过非法流量告警日志实现前端风险实时精准定位,通过大屏快速呈现在什么地点、什么时间发生了什么行为,让网络风险降到最低。通过合法业务的记录,可以回溯三个月内正常访问业务系统的所有行为。
2.3.4 网络资产精准识别,终端信息多维呈现
通过主动扫描、被动监听和手动设置等手段采集视频专网中的摄像头、PC、NVR等接入设备的资产信息,包括设备IP、设备类型、在线状态、接入链路状态、厂家、地理位置等,并进行分类统计,建立统一的资产库,解决多安防厂家并存的情况下接入资产难以统一监管的问题。
2.3.5监管平台级联部署,全网信息集中展示
通过建立视频准入监管平台支持三级级联部署,下级平台实时向上级平台汇总资产、告警以及网络质量等相关信息,多种信息在上级平台进行汇总,分类、排序等处理,通过可视化页面呈现全网资产状态、安全态势等信息,并且上级平台针对未及时处理的安全事件,可通过监管平台通知下级进行处理,确保业务稳定、安全运行。
3
视频专网安全准入整体规划
建设公安视频传输专网安全防护体系,在前端接入网络侧,需构建视频监控前端准入控制系统,完成对视频前端接入设备的认证和接入数据的管控。在平台侧,建成视频监控数据中心基础安全防护系统,完成应用防火墙、入侵防御等安全防护设施的部署;在数据中心区域,建成视频监控安全监管平台;实时精确掌握视频传输专网运行安全状态。
建设公安视频传输专网前端准入控制系统以“接入设备可信、接入数据可控”为原则,采用专业物联网准入控制设备,通过主动扫描、被动监听和手工设置等手段,建立前端接入数据协议白名单准入机制,实现对网络中非法恶意行为的识别、告警和实时阻断,避免非法访问、入侵攻击等非法数据接入公安视频传输专网。
3.1 资产管理
视频监控网资产数量多,分布广泛,视频网建设方式多样化,导致用户对现网资产的具体情况无法准确把握,通过建立视频专网安全准入系统,需支持丰富的资产管理功能,帮助用户发现识别视频专网资产详细情况、IP地址利用情况以及支持和公安“一机一档”系统进行对接。
3.1.1 资产扫描和管理
视频专网安全准入系统,应具备识别主流但不限于海康、大华、宇视、天地伟业等安防厂商的设备,通过主动扫描、被动监听和手动设置等手段采集视频专网中的摄像头、PC、NVR等接入设备的资产信息,包括设备IP、设备类型、在线状态、接入链路状态、厂家、地理位置等,并进行分类统计,建立统一的资产库,解决多安防厂家并存的情况下接入资产难以统一监管的问题。视频专网安全准入系统将扫描的设备经过确认建立合法资产库,生成准入白名单,资产库还实时显示资产的链路质量,实时发现终端是否稳定,避免出现视频卡顿、丢失等情况。
3.1.2 IP地址管理
视频专网安全准入系统,应支持以图表的方式展现IP资源的实际使用情况,包含已使用、未使用IP地址以及每个IP地址的终端类型,协助管理员对视频专网IP资源使用进行整体规划,快速完成IP资源分配、回收登记管理。IP信息展示方式分两个维度,支持基于组织架构查询,也支持基于IP网段查询。
3.1.3 “一机一档”对接
视频专网安全准入系统,应包含视频资源“一机一档”作为公共安全视频网网络准入及安全管理系统子模块,为视频监控日常管理、宏观规划和实战应用提供快速、准确、翔实的技术数据。视频专网安全准入系统资产管理功能应支持将扫描获取的信息按照公安部“一机一档”格式进行导出并支持和公安“一机一档”系统进行对接,充分满足公安视频图像信息管理的应用要求。
3.2 终端安全准入
视频专网安全准入系统,应具备通过身份认证功能区分合法终端,有效防御私接对网络造成的危害。物联网中绝大部分终端是哑终端,不适合通过认证客户端或者Portal方式进行认证,针对物联网的特点,视频专网安全准入系统主要有以下几种准入机制。
3.2.1 基于终端特征准入机制
视频专网安全准入系统应具备采集前端设备的IP、MAC、系统信息、类型等信息生成唯一指纹的功能,对视频监控设备的接入进行指纹识别,如果终端指纹和设备指纹库信息一致,前端终端允许接入视频专网,对指纹信息错误的终端实时阻断并告警。(如图一所示)
图1 终端特征准入机制
3.2.2 基于GB28181标准的准入机制
GB28181作为公共安全视频监控联网系统信息传输、交换、控制技术要求,公安视频传输网的设备应该遵循此标准进行信息传输、交换,但现在公安视频传输网业务大量使用私有协议承载,导致“一机一档”信息采集困难,运维管理不统一,视频专网安全准入系统应支持识别IPC是否采用GB28181标准接入,对不符合国标的终端可进行告警和阻断。
3.2.3 基于GB35114-2017标准的准入机制
GB35114-2017作为视频监控联网视频信息以及控制信息安全保障的要求,要与准入控制机制相结合,在强制要求按照GB35114-2017标准建设的视频专网中,视频专网安全准入系统应通过对注册报文、控制报文以及视频流报文进行深度识别,对不符合GB35114标准的终端进行实时阻断并告警。
3.3 协议白名单过滤
视频专网安全准入系统应具备基于接入数据协议特征建立业务白名单功能。需内置主流安防厂家的视频等接入业务的协议特征库,并支持特征库手动扩展功能,默认关闭非业务端口,对于业务端口基于协议特征库白名单进行数据管控。须只允许授权的终端接入视频专网。当数据接入视频专网时,对数据进行逐包协议特征解析,并与协议特征白名单进行匹配,如果白名单匹配成功,则将数据放行,如果匹配失败则将数据实时阻断,并进行实时告警。(如图二所示)
图2 白名单过滤原理
3.4 建设视频数据中心基础安全防护系统
视频专网数据中心安全防护是保护数据中心核心软硬件运行安全的系统。为运行在视频传输专网数据中心的各类监控系统、应用系统、数据库服务器等核心业务系统提供安全防护措施,使数据中心具备访问控制、攻击防护和病毒过滤等安全能力。
需在核心业务前端通过部署防火墙、入侵防御、防病毒、漏洞风险检测等安全防护设备,将公安视频传输专网数据中心区域与其他区域进行安全隔离,实现数据中心与其他区域之间的安全连接和访问控制。
3.4.1 防火墙
通过部署防火墙设备,实现对不同区域的安全划分,在不同的安全域之间形成网络边界,通过边界保护策略,有效规避大部分网络层安全威胁,降低系统层安全威胁对视频专网数据中心的影响。利用边界防护手段,严格规范业务系统的数据传输及应用,防范不同网络区域之间的非法访问和攻击,从而确保数据中心各个区域的有序访问。
3.4.2 IPS入侵防御&防病毒
通过部署入侵防御&防病毒模块,对各种蠕虫、木马、病毒、SQL注入、网页篡改、恶意代码、网络钓鱼、间谍软件等攻击提供有效的安全防护。在遭到0day攻击时,可通过还原攻击特征及内容,有效准确地检测出各种应用上的攻击,判断对方的恶意,准确地将漏洞行为特征分析出来,通过内置的协议防护策略,结合系统内部集成的协议正规化规则,对不符合协议规则的网络数据进行过滤防护。
3.4.3 漏洞风险检测
通过部署漏洞风险检测设备,对资产进行指纹提取及分析,可快速发现现网存活设备,对其进行精细化的资产信息展示。识别各类系统漏洞、中间件漏洞、数据库漏洞、云平台漏洞、WEB漏洞、行业漏洞。模拟人工渗透方式对漏洞进行验证,自动判断漏洞的真实性。对私接互联网、私接路由、一机两用、随身WiFi等行为主动监测,预防出现跨网信息交互事件。
3.5 建设公安视频监控安全监管平台
应建设公安视频监控安全监管平台(简称:视监安管平台),此平台是对视频传输专网安全设备以及摄像机资产统一监测的可视化管理平台,通过该平台建设,能够实时精确掌握视频传输专网运行安全状态。
安全监管平台应支持大屏显示,通过可视化方式展示资产数量、资产运行状态、资产厂家统计、资产类型统计、资产在线率、网络链路质量以及入侵告警信息等。
安全监管平台应支持多种日志信息,包括非法私接、非法仿冒、终端接入、终端行为、资产扫描、非法外联、“一机一档”、DDoS防护多种日志信息,各种日志信息支持全因素查询检索,资产扫描日志,支持基于设备IP、终端IP、厂商、类型、组织关系、变更原因以及时间的多维度查询,方便用户快速检索有价值的信息。
4
结 语
随着大数据时代的高速发展,视频专网安全技术也应顺应时代,甚至要走在时代前列,应不断开拓创新,推进公安工作信息化向纵深发展。